Как создать КЭП для Аутентификация с использованием OpenID Connect 1.0?

Пытаюсь реализовать интеграцию ЕСИА через OpenID Connect, читаю "Методические рекомендации по использованию Единой системы идентификации и аутентификации(Версия 2.87)".

Раздел 3 "АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ЧЕРЕЗ ЕСИА", подраздел "Аутентификация с использованием OpenID Connect 1.0".

Шаг 1-2 (Регистрация ИС) - выполнен, застрял на пункте 3 (Доработать систему), цитирую 1 подпункт:

Выпустить ключевой контейнер и сертификат ключа квалифицированной электронной
подписи для подключаемой ИС (должен содержать ОГРН ЮЛ, являющегося оператором
ИС). 

Сертификат требуется для идентификации ИС при взаимодействии с ЕСИА. ЕСИА
использует сертификаты в формате X.509 и взаимодействует с алгоритмами
формирования электронной подписи ГОСТ Р 34.10-2012 и
криптографического
хэширования ГОСТ Р 34.11-2012.

Каким образом мне можно выпустить КЭП (квалифицированной электронной подписи), для того что бы в дальнейшем указать его в заявке.

Опыта интеграции с ЕСИА не было, а изучение очень сильно затянулось, что не регламент/методичка - обязательно 50-200стр. Может кто-то уже занимался интеграцией и может на пальцах объяснить, буду очень признателен.